Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, por Marcelo Giménez
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, por Marcelo Giménez

on

  • 2,939 views

Presentación de Marcelo Gimenez en el Foro Global Crossing de tecnología y negocios, argentina, 2008

Presentación de Marcelo Gimenez en el Foro Global Crossing de tecnología y negocios, argentina, 2008

Statistics

Views

Total Views
2,939
Views on SlideShare
2,901
Embed Views
38

Actions

Likes
1
Downloads
27
Comments
0

2 Embeds 38

http://www.forolevel3.com 29
http://foro.globalcrossing.com 9

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Riesgos a los que se exponen las empresas y cómo evitar las consecuencias, por Marcelo Giménez Presentation Transcript

  • 1. Riesgos a los que se exponen las empresas Marcelo Gimenez Regional Technology and Operations Security Manager © 2007 Global Crossing - Proprietary
  • 2. Recuerdan cuando… •La seguridad significó tener a alguien que podría colocar una regla en un firewall. •El oficial de seguridad era la persona en el escritorio de la entrada. •Los sistemas de detección de intrusos controlaban el perímetro. •Uno podía abrir sin dudar todos los E-mail. •El intruso era solamente desconocido. Esos días terminaron… © 2007 Global Crossing - Proprietary 2
  • 3. Escenario actual Las nuevas tecnologías y procesos cambian el escenario de las redes internas. Incremento exponencial de tecnología móvil: notebooks, pdas, nueva generación de celulares, etc Automatización de procesos y adecuaciones a normas internacionales Asimismo, la evolución de las aplicaciones como la diversidad de accesos, dificulta la aplicación de controles. Servicios tradicionales: telefonía IP, crm, optimización de protocolos, nuevas interfaces, etc Accesos inalámbricos. La alta rotación del personal expone ampliamente al sector de IT, capacitar, concientizar y lograr la productividad del nuevo personal es costoso. © 2007 Global Crossing - Proprietary 3
  • 4. Escenario actual Internet Sasser Blaster Slammer Contagio Tecnología de Virus Vulnerabilidades Ataques de Layer 7 “mutante” De menor Mayor elaboración complejidad y costo de control © 2007 Global Crossing - Proprietary 4
  • 5. Escenario actual Internet Ataques distribuídos Spam Zombie & BotNets DDOS Colapsando Identificando los sistemas hábitos y contenido © 2007 Global Crossing - Proprietary 5
  • 6. Escenario actual Internet VPN Remotos Redes de Terceros Accesos Inalámbricos Site to Site Necesitando Necesitando solo acceso físico una señal © 2007 Global Crossing - Proprietary 6
  • 7. Escenario actual Ingeniería Social Phishing & Pharming Considerando Perfeccionando las técnicas manuales técnicas mediante el uso de recursos de red © 2007 Global Crossing - Proprietary 7
  • 8. Escenario actual Estándares Propios Normas y Regulaciones Definiendo Utilizando las normas y metodologías regulaciones requeridas © 2007 Global Crossing - Proprietary 8
  • 9. Nuevos Objetivos © 2007 Global Crossing - Proprietary 9
  • 10. Recuerdan cuando? Año 2003 / 04  La infección se duplicaba cada 7 segundos.  Infectan a más de 80.000 hosts en los primeros 10 minutos.  Causan perdidas millonarias a nivel mundial por DoS de aplicaciones, DoS de redes, cancelación de vuelos, fallas en “Cajeros automáticos”, etc. Minutos después del lanzamiento 11 © 2007 Global Crossing - Proprietary 8 6 10
  • 11. Un cambio de foco en los Hackers Malware Troyanos Virus Phishing Spyware Troyanos Gusanos Pharming Backdoor Zombies / Botnets Hoy, la estrategia es desarrollar código que pase desapercibido, con el fin de capturar información confidencial. (ataques dirigidos) © 2007 Global Crossing - Proprietary 11
  • 12. Un cambio de foco en los Hackers Worm Gimmiv - RPC in Server Services (23-10-08) Dos días después se creo un gusano que aprovechaba la vulnerabilidad para infectar sistemas. El ejecutable es detectado como Win32/Gimmiv.A, registra una DLL (%SystemDir%wbemsysmgr.dll) en el sistema con el nombre “System Maintenance Service” y lanza procesos BAT para terminar con el antivirus que se encuentre residente en ese momento. Luego de ello, verifica la conexión a Internet del usuario, realizando una conexión a servidores de Google y si dicha conexión existe, continúa la infección. A partir de este momento comienza a enviar información a su creador sobre el sistema operativo y el antivirus instalado. El propósito final de Gimmiv es dar acceso al sistema infectado, enviando al atacante cualquier tipo de información que se considere relevante del sistema, como ser: •Usuarios y contraseñas de Microsoft Live Mesenger (MSN) •Usuarios y contraseñas de Microsoft Outlook Express •Contraseñas almacenadas en Microsoft Internet Explorer •Cookies y otros métodos de autenticación •Archivos deseados por el atacante © 2007 Global Crossing - Proprietary 12
  • 13. Un cambio de foco en los Hackers Grayware Spyware (no malicioso) Grayware: Software que identifica los hábitos del usuario, puede determinar características relevantes del sujeto, como hábitos, gustos, etc. (Es una excelente técnica de Ingeniería Social). El problema se presenta cuando un sitio web legitimo se convierte en un sitio malicioso, producto de la falta de medidas de seguridad, o cuando se compromete la computadora del usuario. © 2007 Global Crossing - Proprietary 13
  • 14. Algunas cifras En nuestro Security Operation Center (SOC), detectamos un promedio de 131.000 eventos diarios de prioridad Alta y 76.000 de prioridad Media, en los IPS s instalados en la región. A esto se le suman los 276.000 Spam diarios detectados. 12000000 10000000 8000000 High 6000000 Medium Low 4000000 2000000 0 High Medium Low © 2007 Global Crossing - Proprietary 14
  • 15. Algunas cifras Q TOTAL Q SPAM Q HAM Q VIRUS S TOTAL S SPAM S HAM S VIRUS 2007-11-00 1.501.000 895.428 605.572 4.685 130,88 8,52 122,36 0,3 2007-12-00 6.600.218 4.342.259 2.257.959 16.307 478,54 32,98 445,55 1 2008-01-00 8.638.567 6.049.989 2.588.578 19.596 556,22 44,34 511,88 1,23 2008-02-00 10.772.575 7.930.638 2.841.937 17.950 653,6 44,45 609,15 1,26 2008-03-00 13.400.244 9.958.116 3.442.128 8.999 797,07 52,.50 744,57 0,73 14.000.000 12.000.000 10.000.000 8.000.000 6.000.000 4.000.000 Q VIRUS 2.000.000 Q HAM 0 Q SPAM © 2007 Global Crossing - Proprietary 15
  • 16. Algunas cifras Se procesan un promedio de 30 denuncias al mes de casos de Phishing. Hemos recibido un reporte externo referente a eventos de phishing, asociado al IP:200.xx.xx146 y el sitio web alojado en el mismo: La URL detectada que presenta el problema es: http://secretariadepueblos.gov.ec/joomla/media/rbs.co.uk/Login.htm A la fecha de nuestros chequeos [14/Mar/2008 - 12:05 ARTS ], la URL está activa. Hemos recibido un reporte externo referente a eventos de phishing, asociado al IP:200.xx.xx.62 y el sitio web alojado en el mismo: La URL detectada que presenta el problema es: http://mail.trenurbano.gob.pe/santillana/.cgi-bin/ A la fecha de nuestro chequeo [03/Feb/2008 - 11:00 ARTS ], la URL está activa y alojando contenido malicioso que se esta utilizando para cometer ataques de phishing. © 2007 Global Crossing - Proprietary 16
  • 17. Algunas cifras Se alertan a un promedio de 20 clientes al mes, indicándoles violaciones al derecho de autor (Copyright) Title: FIFA Infringement Source: BitTorrent Infringement Timestamp: 22 Sep 2008 02:08:11 GMT Infringement Last Documented: 22 Sep 2008 02:08:11 GMT Infringer Username: Infringing Filename: FIFA 08 [Spanish][PS2DVD][WwW.GamesTorrents.CoM] Infringing Filesize: 2189075098 Infringer IP Address: 200.xx.xx.200 Infringer DNS Name: Infringing URL: http://tk.comicat.com:80/announce The unauthorized copies of game product are listed and/or identified thereon by their titles or variations thereof, game-related listings/references/descriptions, or depictions of game-related artwork. Such copies, titles, game-related listings/references/descriptions, depictions, and material that is the subject of infringing activities are hereinafter referred to as "Infringing Material.ââ'¬Â• Given this infringing activity by 200.xx.xx.200, the ESA urges Global Crossing - Argentina to cooperate with its efforts to protect the intellectual property rights of its members companies and immediately do the following: © 2007 Global Crossing - Proprietary 17
  • 18. Nuevas Amenazas © 2007 Global Crossing - Proprietary 18
  • 19. Nuevas amenazas Drive by Pharming  Es la evolución de la técnica de Pharming tradicional.  Su objetivo es el usuario de banda ancha (Adsl, Cable, etc).  Consiste en aprovechar las vulnerabilidades de algunos routers, modificando los parámetros de DNS, por un DNS del atacante.  A partir de ese momento, la resolución de nombres la realiza el DNS del atacante, logrado derivar al usuario a sitios modificados con el fin de capturar información confidencial. © 2007 Global Crossing - Proprietary 19
  • 20. Nuevas amenazas Juegos On line  Se estima que el 54% de los archivos referidos a videojuegos en redes P2P, están troyanizados.  Se analizaron 1000 muestras en sitios y en redes P2P de los 30 videojuegos mas populares, se constató que 528 contenían algún tipo de malware.  Generalmente las PC´s que utilizan los usuarios de videojuegos, tienen un alto nivel de procesamiento, por lo cual son “ideales” para los operadores de las redes BOTNET. © 2007 Global Crossing - Proprietary 20
  • 21. Nuevas amenazas Web legitimas pero maliciosas  Cada vez son mas los sitios Web, que son infectados con propósitos dañinos.  Los visitantes se convierten en victimas sin conocimiento que forman parte de una red informática de los atacantes.  Las redes sociales, se esta convirtiendo en una moda peligrosa.  My Space  Foto Blogs  Second Life © 2007 Global Crossing - Proprietary 21
  • 22. DEFCON © 2007 Global Crossing - Proprietary 22
  • 23. Defcon 15 1000 personas por salón 5 salones © 2007 Global Crossing - Proprietary 23
  • 24. Defcon 15 4 Salas de Hacking © 2007 Global Crossing - Proprietary 24
  • 25. Defcon 15 © 2007 Global Crossing - Proprietary 25
  • 26. Defcon 15 © 2007 Global Crossing - Proprietary 26
  • 27. Defcon 15 (Novedades) DDOS Bot by Cyber Underground Project PINCH 2.99 (Troyanos)  Controla maquinas zombis a través de WEB e IRC.  Usa múltiples técnicas de penetración (SYN, ICMP, UDP, HTTP GET FLOODING, ETC).  Se vende por U$ 300, pero hay en la red viejas versiones gratis.  Con la versión paga garantizan que no es detectado por los AV © 2007 Global Crossing - Proprietary 27
  • 28. Defcon 15 (Novedades) DDOS y SPAM Services  Ofrecen un servicio de denegación de servicio distribuida (DDOS) y de Spam.  Mayormente es generado desde Rusia y Asia.  Solo hay que definir el objetivo y ellos proporcionan la técnica y la infraestructura para hacerlo.  El costo es:  1 hs de DDOS o SPAM es de U$ 50  24 hs de DDOS o SPAM es de U$ 200 © 2007 Global Crossing - Proprietary 28
  • 29. El Mundo Underground © 2007 Global Crossing - Proprietary 29
  • 30. Conociendo al Enemigo White Hat: Individuos que poseen los mismos conocimientos que un black hat pero utilizados para propósitos defensivos. También conocidos como Analistas de Seguridad Grey Hat: Individuos que trabajan tanto para propósitos defensivos como ofensivos. Carecen de ética. “Mercenarios” Black Hat: Individuos con conocimientos extraordinarios de computación realizando actividades maliciosas o destructivas. También conocidos como CRACKERS Trabajan organizados y en grupos…. Y no duermen. © 2007 Global Crossing - Proprietary 30
  • 31. Conociendo al Enemigo Motivaciones Curiosidad y desafío Entretenimiento Intereses políticos Deseo de información Emoción de obtener privilegios de acceso Usarlo como trofeo para obtener “status” en el ambiente Esos días terminaron… © 2007 Global Crossing - Proprietary 31
  • 32. Conociendo al Enemigo © 2007 Global Crossing - Proprietary 32
  • 33. Conociendo al Enemigo Sus codigos… War Chokers, Drivers, Walkers y otros © 2007 Global Crossing - Proprietary 33
  • 34. Conociendo al Enemigo © 2007 Global Crossing - Proprietary 34
  • 35. Conociendo al Enemigo © 2007 Global Crossing - Proprietary 35
  • 36. Recomendaciones © 2007 Global Crossing - Proprietary 36
  • 37. The Human Firewall – an invaluable tool Un buen “human firewall employee” es aquel que aplica las buenas practicas de seguridad y descarta las malas. La única manera de construir un buen “human firewall”, es conducirlo al uso de los buenos hábitos, al uso de ética y al compromiso por medio de la concientización. Capacitación Compromiso y Concientización © 2007 Global Crossing - Proprietary 37
  • 38. Pasado En la actualidad Reactivo Flexible, Proactivo Standalone Múltiples capas Análisis realizados a Análisis realizados través de software por profesionales Transporte Contenido Foco en la tecnologia Foco en los procesos Estándares propios Normas y regulaciones internacionales Amenazas Externas Externas, Internas, Redes 3° © 2007 Global Crossing - Proprietary 38
  • 39. No toda la amenaza tiene la misma apariencia… © 2007 Global Crossing - Proprietary 39
  • 40. Considerar que la amenaza puede estar muy cerca de uno... © 2007 Global Crossing - Proprietary 40
  • 41. Gracias! © 2007 Global Crossing - Proprietary